| Title | Oracle Java SE の Java Runtime Environment における HotSpot の処理に関する脆弱性 |
|---|---|
| Summary | Oracle Java SE の Java Runtime Environment (JRE) および OpenJDK には、HotSpot に関する処理に不備があるため、完全性に影響のある脆弱性が存在します。 本情報は、April 2013 Critical Patch Update (CPU) に基づく脆弱性情報です。 当初、研究者が、整数フィールドと double 型実数フィールドを使用してセキュリティマネージャを無効化するデモンストレーションによって、MethodHandles メソッドによってパーミッションの確認を回避される、およびリフレクションと type confusion を使用して任意の public final フィールドを変更される可能性があると主張していますが、オラクル社はコメントしていません。 |
| Possible impacts | 第三者により、情報を改ざんされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 16, 2013, midnight |
| Registration Date | April 22, 2013, 10:39 a.m. |
| Last Update | March 28, 2014, 6:29 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| オラクル |
| JDK 7 Update 17 およびそれ以前 |
| JRE 7 Update 17 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2013年04月22日] 掲載 [2013年06月18日] 概要:内容を更新 ベンダ情報:オラクル (jdk7u/jdk7u-dev/jdk / changeset) を追加 ベンダ情報:Ubuntu (USN-1806-1) を追加 ベンダ情報:レッドハット (RHSA-2013:0752) を追加 ベンダ情報:レッドハット (RHSA-2013:0757) を追加 ベンダ情報:レッドハット (Bug 952398) を追加 参考情報:GNU/Andrew's Blog (IcedTea 2.3.9 for OpenJDK 7) を追加 [2013年07月05日] ベンダ情報:openSUSE (openSUSE-SU-2013:0964) を追加 [2013年08月12日] ベンダ情報:ターボリナックス (TLSA-2013-2) を追加 [2014年03月28日] 参考情報:関連文書 (MGASA-2013-0130) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 17 and earlier, and OpenJDK 7, allows remote attackers to affect integrity via unknown vectors related to HotSpot. NOTE: the previous information is from the April 2013 CPU. Oracle has not commented on claims from the original researcher that this vulnerability allows remote attackers to bypass permission checks by the MethodHandles method and modify arbitrary public final fields using reflection and type confusion, as demonstrated using integer and double fields to disable the security manager. |
|---|---|
| Publication Date | April 18, 2013, 3:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:38 p.m. |
| Last Update | Nov. 21, 2024, 10:51 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:oracle:jre:1.7.0:update9:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update15:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update6:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update3:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update13:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update10:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update11:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update2:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update5:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update4:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update7:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:update1:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.7.0:-:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:* | |||||